BlankBot Banking trójai
A kiberbiztonsági kutatók felfedték a BlankBot nevű új Android banki trójai programot, amely a török felhasználókat célozza pénzügyi információk ellopására. A BlankBot különféle fenyegető képességekkel rendelkezik, beleértve az ügyfelek injekcióit, a billentyűnaplózást és a képernyőrögzítést. WebSocket kapcsolaton keresztül kommunikál egy vezérlőszerverrel.
Az első alkalommal 2024 júliusában azonosított BlankBot állítólag még mindig aktív fejlesztés alatt áll. A rosszindulatú program kihasználja az Android akadálymentesítési szolgáltatásainak engedélyeit, hogy teljes irányítást szerezzen a fertőzött eszközök felett.
Tartalomjegyzék
A BlankBot hamis alkalmazásokon keresztül terjed
A BlankBotot tartalmazó sérült APK-fájlok némelyike az app-release.apk nevű változatokat tartalmazza csomagazonosítókkal, például com.abcdefg.w568b és com.abcdef.w568b , valamint a com címkével ellátott app-release-signed (14).apk-t. whatsapp.chma14 . Ezenkívül vannak app.apk nevű fájlok, amelyek azonosítói: com.whatsapp.chma14p , com.whatsapp.w568bp és com.whatsapp.w568b .
A közelmúltban újra megjelent Mandrake Android trójaihoz hasonlóan a BlankBot is munkamenet-alapú csomagtelepítőt alkalmaz, hogy megkerülje az Android 13-ban bevezetett korlátozott beállítási funkciót, amely megakadályozza, hogy az oldalról betöltött alkalmazások közvetlenül kérjenek nem biztonságos engedélyeket. A BlankBot megkéri az áldozatot, hogy engedélyezze a harmadik féltől származó alkalmazások telepítését, titkosítás nélkül lekéri az alkalmazáseszköz-könyvtárban tárolt APK-fájlt, és folytatja a telepítési folyamatot.
A BlankBot Banking Trojan fenyegető képességei
A rosszindulatú program a funkciók széles skáláját kínálja, beleértve a képernyőrögzítést, a billentyűnaplózást és a távoli szerverről érkező meghatározott parancsok által kiváltott overlay injekciókat. Elsődleges célja, hogy rögzítse a bankszámla hitelesítő adatait, a fizetési információkat, és még az eszköz feloldási mintáját is.
Ezeken a képességeken kívül a BlankBot képes elkapni az SMS-üzeneteket, eltávolítani tetszőleges alkalmazásokat, és adatokat gyűjteni, például névjegyzékeket és telepített alkalmazásokat. Kihasználja az akadálymentesítési szolgáltatások API-ját is, hogy blokkolja a felhasználót az eszközbeállításokhoz való hozzáférésben vagy a rosszindulatú szoftverek elhárításában.
Bár a BlankBot egy új Android banki trójai, amely még fejlesztés alatt áll, amint azt a különböző alkalmazásokban látható kódváltozatok jelzik, már képes káros műveletek végrehajtására, ha megfertőz egy Android-eszközt.
A Google további intézkedéseket vezet be az Android-felhasználók védelmére
A Google részletesen ismertette azokat az intézkedéseket, amelyeket a mobilhely-szimulátorok (például a Stingrays) SMS-ek Android-telefonokba való közvetlen bejuttatására való használatának kezelésére tesz. Ez az SMS Blaster csalásként ismert csalási technika megkerüli a szolgáltatói hálózatokat és azok fejlett spam- és csalásellenes szűrőit, hamis LTE vagy 5G hálózatot hoz létre, amely arra kényszeríti a felhasználót, hogy visszatérjen egy régi 2G protokollhoz.
A probléma leküzdésére a Google enyhítő intézkedéseket vezetett be, amelyek magukban foglalják a 2G-kapcsolatok modem szintű letiltását és a nullrejtjelek kikapcsolását. A nulla titkosítások kulcsfontosságúak a hamis bázisállomások számára az SMS hasznos adatbeviteléhez.
